请求参数的校验是很多新手开发非常容易犯错,或存在较多改进点的常见场景。比较常见的问题主要表现在以下几个方面:

  • 仅依靠前端框架解决参数校验,缺失服务端的校验。这种情况常见于需要同时开发前后端的时候,虽然程序的正常使用不会有问题,但是开发者忽略了非正常操作。比如绕过前端程序,直接模拟客户端请求,这时候就会突然在前端预设的各种限制,直击各种数据访问接口,使得我们的系统存在安全隐患。
  • 大量地使用if/else语句嵌套实现,校验逻辑晦涩难通,不利于长期维护。

所以,针对上面的问题,建议服务端开发在实现接口的时候,对于请求参数必须要有服务端校验以保障数据安全与稳定的系统运行。同时,对于参数的校验实现需要足够优雅,要满足逻辑易读、易维护的基本特点。

接下来,我们就在本篇教程中详细说说,如何优雅地实现Spring Boot服务端的请求参数校验。

JSR-303

在开始动手实践之前,我们先了解一下接下来我们将使用的一项标准规范:JSR-303

什么是JSR?

JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。

JSR-303定义的是什么标准?

JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,Hibernate Validator 是 Bean Validation 的参考实现 . Hibernate Validator 提供了 JSR 303 规范中所有内置 constraint 的实现,除此之外还有一些附加的 constraint。

Bean Validation中内置的constraint

Hibernate Validator附加的constraint

在JSR-303的标准之下,我们可以通过上面这些注解,优雅的定义各个请求参数的校验。更多关于JSR的内容可以参与官方文档或参考资料中的引文[1]。

动手实践

已经了解了JSR-303之后,接下来我们就来尝试一下,基于此规范如何实现参数的校验!

准备工作

读者可以拿任何一个使用Spring Boot 2.x构建的提供RESTful API的项目作为基础。也可以使用Spring Boot 2.x基础教程:使用Swagger2构建强大的API文档中构建的实验工程作为基础,您可以通过下面仓库中的chapter2-2目录取得:

当然,您也可以根据前文再构建一个作为复习,也是完全没有问题的。

快速入门

我们先来做一个简单的例子,比如:定义字段不能为Null。只需要两步

第一步:在要校验的字段上添加上@NotNull注解,具体如下:

@Data

@ApiModel(description="用户实体")

public class User {

    @ApiModelProperty("用户编号")

    private Long id;

    @NotNull

    @ApiModelProperty("用户姓名")

    private String name;

    @NotNull

    @ApiModelProperty("用户年龄")

    private Integer age;

}

第二步:在需要校验的参数实体前添加@Valid注解,具体如下:

@PostMapping("/")

@ApiOperation(value = "创建用户", notes = "根据User对象创建用户")

public String postUser(@Valid @RequestBody User user) {

    users.put(user.getId(), user);

    return "success";

}

完成上面配置之后,启动应用,并用POST请求访问localhost:8080/users/接口,body使用一个空对象,{}。你可以用Postman等测试工具发起,也可以使用curl发起,比如这样:

curl -X POST \

  http://localhost:8080/users/ \

  -H 'Content-Type: application/json' \

  -H 'Postman-Token: 72745d04-caa5-44a1-be84-ba9c115f4dfb' \

  -H 'cache-control: no-cache' \

  -d '{

}'

不出意外,你可以得到如下结果:

{

    "timestamp": "2019-10-05T05:45:19.221+0000",

    "status": 400,

    "error": "Bad Request",

    "errors": [

        {

            "codes": [

                "NotNull.user.age",

                "NotNull.age",

                "NotNull.java.lang.Integer",

                "NotNull"

            ],

            "arguments": [

                {

                    "codes": [

                        "user.age",

                        "age"

                    ],

                    "arguments": null,

                    "defaultMessage": "age",

                    "code": "age"

                }

            ],

            "defaultMessage": "不能为null",

            "objectName": "user",

            "field": "age",

            "rejectedValue": null,

            "bindingFailure": false,

            "code": "NotNull"

        },

        {

            "codes": [

                "NotNull.user.name",

                "NotNull.name",

                "NotNull.java.lang.String",

                "NotNull"

            ],

            "arguments": [

                {

                    "codes": [

                        "user.name",

                        "name"

                    ],

                    "arguments": null,

                    "defaultMessage": "name",

                    "code": "name"

                }

            ],

            "defaultMessage": "不能为null",

            "objectName": "user",

            "field": "name",

            "rejectedValue": null,

            "bindingFailure": false,

            "code": "NotNull"

        }

    ],

    "message": "Validation failed for object='user'. Error count: 2",

    "path": "/users/"

}

其中返回内容的各参数含义如下:

  • timestamp:请求时间
  • status:HTTP返回的状态码,这里返回400,即:请求无效、错误的请求,通常参数校验不通过均为400
  • error:HTTP返回的错误描述,这里对应的就是400状态的错误描述:Bad Request
  • errors:具体错误原因,是一个数组类型;因为错误校验可能存在多个字段的错误,比如这里因为定义了两个参数不能为Null,所以存在两条错误记录信息
  • message:概要错误消息,返回内容中很容易可以知道,这里的错误原因是对user对象的校验失败,其中错误数量为2,而具体的错误信息就定义在上面的errors数组中
  • path:请求路径

请求的调用端在拿到这个规范化的错误信息之后,就可以方便的解析并作出对应的措施以完成自己的业务逻辑了。

尝试一些其他校验

在完成了上面的例子之后,我们还可以增加一些校验规则,比如:校验字符串的长度、校验数字的大小、校验字符串格式是否为邮箱等。下面我们就来定义一些复杂的校验定义,比如:

@Data

@ApiModel(description="用户实体")

public class User {

    @ApiModelProperty("用户编号")

    private Long id;

    @NotNull

    @Size(min = 2, max = 5)

    @ApiModelProperty("用户姓名")

    private String name;

    @NotNull

    @Max(100)

    @Min(10)

    @ApiModelProperty("用户年龄")

    private Integer age;

    @NotNull

    @Email

    @ApiModelProperty("用户邮箱")

    private String email;

}

发起一个可以出发nameageemail都校验不通过的请求,比如下面这样:

curl -X POST \

  http://localhost:8080/users/ \

  -H 'Content-Type: application/json' \

  -H 'Postman-Token: 114db0f0-bdce-4ba5-baf6-01e5104a68a3' \

  -H 'cache-control: no-cache' \

  -d '{

    "name": "abcdefg",

    "age": 8,

    "email": "aaaa"

}'

我们将得到如下的错误返回:

{

    "timestamp": "2019-10-05T06:24:30.518+0000",

    "status": 400,

    "error": "Bad Request",

    "errors": [

        {

            "codes": [

                "Size.user.name",

                "Size.name",

                "Size.java.lang.String",

                "Size"

            ],

            "arguments": [

                {

                    "codes": [

                        "user.name",

                        "name"

                    ],

                    "arguments": null,

                    "defaultMessage": "name",

                    "code": "name"

                },

                5,

                2

            ],

            "defaultMessage": "个数必须在2和5之间",

            "objectName": "user",

            "field": "name",

            "rejectedValue": "abcdefg",

            "bindingFailure": false,

            "code": "Size"

        },

        {

            "codes": [

                "Min.user.age",

                "Min.age",

                "Min.java.lang.Integer",

                "Min"

            ],

            "arguments": [

                {

                    "codes": [

                        "user.age",

                        "age"

                    ],

                    "arguments": null,

                    "defaultMessage": "age",

                    "code": "age"

                },

                10

            ],

            "defaultMessage": "最小不能小于10",

            "objectName": "user",

            "field": "age",

            "rejectedValue": 8,

            "bindingFailure": false,

            "code": "Min"

        },

        {

            "codes": [

                "Email.user.email",

                "Email.email",

                "Email.java.lang.String",

                "Email"

            ],

            "arguments": [

                {

                    "codes": [

                        "user.email",

                        "email"

                    ],

                    "arguments": null,

                    "defaultMessage": "email",

                    "code": "email"

                },

                [],

                {

                    "defaultMessage": ".*",

                    "codes": [

                        ".*"

                    ],

                    "arguments": null

                }

            ],

            "defaultMessage": "不是一个合法的电子邮件地址",

            "objectName": "user",

            "field": "email",

            "rejectedValue": "aaaa",

            "bindingFailure": false,

            "code": "Email"

        }

    ],

    "message": "Validation failed for object='user'. Error count: 3",

    "path": "/users/"

}

errors数组中的各个错误明细中,知道各个字段的defaultMessage,可以看到很清晰的错误描述。

Swagger文档中的体现

可能有读者会问了,我的接口中是定了这么多。上一篇教程中,不是还教了如何自动生成文档么,那么对于参数的校验逻辑该如何描述呢?

这里要分两种情况,Swagger自身对JSR-303有一定的支持,但是支持的并那么完善,并没有覆盖所有的注解的。

比如,上面我们使用的注解是可以自动生成的,启动上面我们的实验工程,然后访问http://localhost:8080/swagger-ui.html,在Models不是,我们可以看到如下图所示的内容:

其中:nameage字段相比上一篇教程中的文档描述,多了一些关于校验相关的说明;而email字段则没有体现相关校验说明。目前,Swagger共支持以下几个注解:@NotNull@Max@Min@Size@Pattern。在实际开发过程中,我们需要分情况来处理,对于Swagger支自动生成的可以利用原生支持来产生,如果有部分字段无法产生,则可以在@ApiModelProperty注解的描述中他,添加相应的校验说明,以便于使用方查看。

番外:也许你会有这些疑问

当请求参数校验出现错误信息的时候,错误格式可以修改吗?

答案是肯定的。这里的错误信息实际上由Spring Boot的异常处理机制统一组织并返回的,我们将在后面的教程中详细介绍,Spring Boot是如何统一处理异常返回以及我们该如何定时异常返回。

spring-boot-starter-validation是必须的吗?

有读者之前问过,看到很多教程都写了还要引入spring-boot-starter-validation依赖,这个依赖到底是否需要?(本篇中并没有引入)

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-validation</artifactId>

</dependency>

其实,只需要仔细看一下spring-boot-starter-validation依赖主要是为了引入了什么,再根据当前自己使用的Spring Boot版本来判断即可。实际上,spring-boot-starter-validation依赖主要是为了引入下面这个依赖:

<dependency>

   <groupId>org.hibernate.validator</groupId>

    <artifactId>hibernate-validator</artifactId>

    <version>6.0.14.Final</version>

    <scope>compile</scope>

</dependency>

我们可以看看当前工程的依赖中是否有它,就可以判断是否还需要额外引入。在Spring Boot 2.1版本中,该依然其实已经包含在了spring-boot-starter-web依赖中,并不需要额外引入,所以您在本文中找不到这一步。

代码示例

本文的完整工程可以查看下面仓库中的chapter2-3目录:

如果您觉得本文不错,欢迎Star支持,您的关注是我坚持的动力!

参考资料

欢迎关注我的公众号:程序猿DD,获得独家整理的学习资源和日常干货推送。如果您对我的专题内容感兴趣,也可以关注我的博客:didispace.com

Spring Boot 2.x基础教程:JSR-303实现请求参数校验的更多相关文章

  1. Spring Boot 2.x基础教程:使用Swagger2构建强大的API文档

    随着前后端分离架构和微服务架构的流行,我们使用Spring Boot来构建RESTful API项目的场景越来越多.通常我们的一个RESTful API就有可能要服务于多个不同的开发人员或开发团队:I ...

  2. Spring Boot 2.x基础教程:Swagger接口分类与各元素排序问题详解

    之前通过Spring Boot 2.x基础教程:使用Swagger2构建强大的API文档一文,我们学习了如何使用Swagger为Spring Boot项目自动生成API文档,有不少用户留言问了关于文档 ...

  3. Spring Boot 2.x基础教程:Swagger静态文档的生成

    前言 通过之前的两篇关于Swagger入门以及具体使用细节的介绍之后,我们已经能够轻松地为Spring MVC的Web项目自动构建出API文档了.如果您还不熟悉这块,可以先阅读: Spring Boo ...

  4. Spring Boot 2.x基础教程:使用国产数据库连接池Druid

    上一节,我们介绍了Spring Boot在JDBC模块中自动化配置使用的默认数据源HikariCP.接下来这一节,我们将介绍另外一个被广泛应用的开源数据源:Druid. Druid是由阿里巴巴数据库事 ...

  5. Spring Boot 2.x基础教程:找回启动日志中的请求路径列表

    如果您看过之前的Spring Boot 1.x教程,或者自己原本就对Spring Boot有一些经验,或者对Spring MVC很熟悉.那么对于Spring构建的Web应用在启动的时候,都会输出当前应 ...

  6. Spring Boot 2.x基础教程:使用MyBatis的XML配置方式

    上一篇我们介绍了如何在Spring Boot中整合我们国人最常用的MyBatis来实现对关系型数据库的访问.但是上一篇中使用了注解方式来实现,而对于很多MyBatis老用户还是习惯于XML的开发方式, ...

  7. Spring Boot 2.x基础教程:Spring Data JPA的多数据源配置

    上一篇我们介绍了在使用JdbcTemplate来做数据访问时候的多数据源配置实现.接下来我们继续学习如何在使用Spring Data JPA的时候,完成多数据源的配置和使用. 添加多数据源的配置 先在 ...

  8. Spring Boot 2.x基础教程:事务管理入门

    什么是事务? 我们在开发企业应用时,通常业务人员的一个操作实际上是对数据库读写的多步操作的结合.由于数据操作在顺序执行的过程中,任何一步操作都有可能发生异常,异常会导致后续操作无法完成,此时由于业务逻 ...

  9. Spring Boot 2.x基础教程:进程内缓存的使用与Cache注解详解

    随着时间的积累,应用的使用用户不断增加,数据规模也越来越大,往往数据库查询操作会成为影响用户使用体验的瓶颈,此时使用缓存往往是解决这一问题非常好的手段之一.Spring 3开始提供了强大的基于注解的缓 ...

随机推荐

  1. 新手学习FFmpeg - 调用API完成录屏并进行H.264编码

    Screen Record H.264 目前在网络传输视频/音频流都一般会采用H.264进行编码,所以尝试调用FFMPEG API完成Mac录屏功能,同时编码为H.264格式. 在上一篇文章中,通过调 ...

  2. Keras(三)backend 兼容 Regressor 回归 Classifier 分类 原理及实例

    backend 兼容 backend,即基于什么来做运算 Keras 可以基于两个Backend,一个是 Theano,一个是 Tensorflow 查看当前backend import keras ...

  3. python中的全局变量

    1. 在函数中定义的局部变量如果和全局变量同名,则会使用局部变量(即隐藏全局变量). 示例: x = 1 def func(): x = 2 print x func() print x 运行结果: ...

  4. ECfinal-D-Ice Cream Tower-二分+贪心

    传送门:https://vjudge.net/problem/Gym-101194D 题意:在一堆数中,找到对多的组合,使得每个组合的个数为K,且满足在排序后,后一个是前一个的两倍: 思路:二分,贪心 ...

  5. Treasure Hunt CodeForces - 979B

    After the big birthday party, Katie still wanted Shiro to have some more fun. Later, she came up wit ...

  6. CF 988C Equal Sums 思维 第九题 map

    Equal Sums time limit per test 2 seconds memory limit per test 256 megabytes input standard input ou ...

  7. 为什么使用消息队列?消息队列有什么优点和缺点?Kafka、ActiveMQ、RabbitMQ、RocketMQ 都有什么优点和缺点?

    面试题 为什么使用消息队列? 消息队列有什么优点和缺点? Kafka.ActiveMQ.RabbitMQ.RocketMQ 都有什么区别,以及适合哪些场景? 面试官心理分析 其实面试官主要是想看看: ...

  8. python读取大文件只能读取部分的问题

    最近准备重新研究一下推荐系统的东西,用到的数据集是Audioscrobbler音乐数据集.我用python处理数据集中artist_data.txt这个文件的时候,先读取每一行然后进行处理: with ...

  9. 【4】Logistic回归

    前言 logistic回归的主要思想:根据现有数据对分类边界建立回归公式,以此进行分类 所谓logistic,无非就是True or False两种判断,表明了这其实是一个二分类问题 我们又知道回归就 ...

  10. Linux入门基础之一

    Linux 入门基础 一.Linux 系统安装 安装方法网上很多,请自行百度 二.Linux 基本操作 2.1.GNOME图形界面基本操作 操作类似于Windows系统操作 打开每一个文件夹都会打开一 ...